ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara Adobe ColdFusion ticari web uygulama geliştirme platformundaki aktif olarak istismar edilen maksimum şiddetteki bir güvenlik açığının Cuma gününe kadar yamanmasını emretti. CVE-2026-48282 olarak izlenen bu açık, ColdFusion 2025.9, 2023.20 ve önceki sürümlerini etkiliyor ve uzaktaki tehdit aktörlerinin herhangi bir yetki gerektirmeden, düşük karmaşıklıktaki saldırılarla yamasız sistemlerde kod çalıştırmasına olanak tanıyor.
Adobe, bir hafta önce güvenlik güncellemeleri yayınlayarak yöneticileri yamaları hemen uygulamaya çağırmıştı. Şirket, 'Bu güncelleme, belirli bir ürün sürümü ve platformu için hedef alınan veya hedef alınma riski yüksek olan güvenlik açıklarını gideriyor. Adobe, yöneticilerin güncellemeyi mümkün olan en kısa sürede (örneğin 72 saat içinde) yüklemelerini öneriyor.' açıklamasında bulundu. Ancak KEVIntel kurucusu Ryan Dewhurst, Adobe'nin yamaları yayınlamasından sadece iki saat sonra saldırganların CVE-2026-48282'yi istismar etmeye başladığı konusunda uyardı. Kanada Siber Güvenlik Merkezi (CCCS) de ağ savunucularını bu devam eden saldırılara karşı sistemlerini korumaya teşvik etti.
İnternet güvenliği izleme grubu Shadowserver, halihazırda çevrimiçi olarak yaklaşık 800 Adobe ColdFusion örneği tespit etti, ancak bunların ne kadarının tuzak sistem (honeypot) olduğu veya CVE-2026-48282 açığını hedef alan saldırılara karşı korunduğu bilinmiyor. CISA, Salı günü CVE-2026-48282'yi aktif olarak istismar edilen güvenlik açıkları listesine ekleyerek ABD Federal Sivil Yürütme Organı (FCEB) kurumlarına sistemlerini 10 Haziran Cuma gününe kadar yamalamalarını emretti. Bu, geçen ay yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında zorunlu hale getirildi.
BOD 26-04, federal kurumların yamalama önceliklendirmesini, açıkların CISA'nın KEV kataloğunda yer alması, istismarlarının büyük ölçekli saldırılar için otomatikleştirilebilmesi, savunmasız varlıkların çevrimiçi olması ve başarılı istismarın saldırganlara hedef cihaz üzerinde kısmi veya tam kontrol sağlayıp sağlamaması gibi kriterlere göre yapmasını gerektiriyor. Adobe geçen hafta ayrıca ColdFusion ve Campaign Classic platformlarındaki altı maksimum şiddetteki güvenlik açığını daha yamaladı, ancak bunların hiçbirinin aktif olarak istismar edildiği bildirilmedi. Nisan ayı başında Adobe, Aralık 2025'ten beri sıfırıncı gün açığı olarak istismar edilen bir Acrobat Reader güvenlik açığı (CVE-2026-34621) için acil güncellemeler yayınlamıştı. Kasım 2021'den bu yana CISA, Adobe ürünlerindeki 80 güvenlik açığını aktif olarak istismar edilenler listesine ekledi ve bunların 10'u fidye yazılımı saldırılarında da kullanıldı.